網絡訪問控制(NAC)技術曾經被大家認為是一種昂貴而又不實用的工具,唯一的作用就是可以把用戶鎖定在網絡之外。但是,隨著設備的數量和用戶類型的增長對網絡產生的沖擊,NAC安全成為企業必備的一項技術。
Gartner公司的研究副總裁Lawrence Orans表示,早期的NAC產品常常夸大其能力和性能,使得用戶對該技術越來越失望。
而在Interop 2014展會上提出“Bring your own Everything”的美國塞勒姆州立大學的網絡服務主管Brian Helman表示,NAC正要卷土重來。
某大學的IT專業人士問Helman,NAC是否值得投資,他這樣問的原因是,他的很多終端用戶,也就是很多學生都會想出各種方法繞過NAC系統。
Helman表示,NAC值得投資,而且它正在復蘇。這些學生們所做的是他們不應該做的。
Helman還表示,他的組織正在重新審視NAC策略,而且正在更換NAC供應商。
下一代NAC技術提供BYOD訪問控制
其實,NAC技術是否值得投資,這也是很多組織的疑慮,ForeScout技術公司的市場總監Scott Gordon表示,很多人在實施NAC時都有過不愉快的經歷,NAC涉及到在每個設備上安裝代理,但是通常只用于鎖定系統。很多組織過去都被實施NAC搞 得焦頭爛額。
CyberEdge研究和營銷咨詢公司的CEO和聯合創始人Steve Piper也表示,以前的NAC解決方案只有現在的很多解決方案中的極少數功能,所以我也能想象當時為什么很多組織都逃避使用NAC技術。
Gartner公司的Orans表示,盡管早期的NAC解決方案又昂貴又復雜,但還是有一些NAC供應商存活下來,并推出新的、成熟的產品。
其中很多NAC供應商通過不斷擴展NAC功能為企業提供下一代NAC解決方案。很多下一代NAC工具都是無代理的,比如Aruba公司的 Clearpass以及ForeScout公司的CounterACT,這也是現在BYOD環境下最大的特點,IT人員不必在每臺員工自有設備上安裝代 理。
CyberEdge公司的Piper表示,網絡上有很多設備處于管理狀態下,但是也有很多移動設備和個人設備處于未受管理的狀態下,所以不可能給每臺設備安裝代理。
實際上,傳統NAC策略的執行越來越復雜,因為企業網絡中的BYOD和臨時設備的數量在不斷增長,這也就促使新的NAC解決方案的到來。
紐約時裝技術學院的網絡訪問控制策略拒絕用戶使用自己的智能手機和平板電腦連接到學校的網絡,用戶必須默認使用自己的移動運營商。該學院的IT副總裁兼 CIO Gregg Chottiner表示,在這種情況下,NAC對我們來說至關重要,因為我們非常不希望我們的網絡接觸到網絡病毒或是學生的一些受感染的個人筆記本電腦。
Aruba公司的ClearPass使得Chottiner和他的團隊能夠精確控制其用戶和應用程序的訪問,而且他們還可以在特定的實驗室或教室禁用一些特定的程序,比如Facebook。
Chottiner和他的團隊管理無線網絡時非常嚴格,因為他們的組織位于城市中間。但如果你不是團隊成員,也不是學生,那么你就不能訪問學校的網絡。而且,即使學生在家里訪問網絡,我們的控制人員一旦發現,也會關閉。
但是Chottiner表示,如果網絡的SSID正在直播,組織就有可能遇到NAC故障。有一些組織并不限制訪問,但是他們可能會限制另一方面(比如下載)。有一些老師可能會問,為什么他們不能像在星巴克一樣訪問無線網絡,我會說,我們不想有人在我們的網絡上下載東西。
下一代NAC安全可以很好的整合到基礎設施中
以前,只有大型企業才會使用NAC,如今,它也是中小型企業必不可少的技術。而且,把下一代NAC技術整合到企業中變得越來越簡單,用戶也越來越離不開這種安全措施了。
類似ForeScout公司的這種無代理的NAC策略,也可以適應企業的基礎設施,托管安全服務也變得很簡單,而傳統的NAC技術需要接觸基礎設施的每個部分,而且還要有足夠的可視性。這種互操作性使得企業在部署NAC時不用重新構建基礎設施。